La seguridad de los sistemas de información de una organización será auditada para verificar que la política de seguridad define los roles y responsabilidades, que existen procedimientos para resolver conflictos, y que se ha realizado un análisis de riesgos anual. La auditoría revisará la documentación, registros e incidentes y examinará al personal para comprobar el conocimiento y aplicación de las medidas de seguridad.